<br><br>Jimmy <div><br></div><div>Whois data is largely in error. Anyone saying safety is a basis for the directory is in error.  <span></span></div><div><br></div><div>The black hat analogues are a bit off as well. A name is not enough. It's a start, but users don't safeguard their privacy anywhere generally. </div>
<div><br></div><div>Best, </div><div><br></div><div>Marty</div><div><br>On Thursday, August 16, 2012, Jimmy Hess  wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
On 8/16/12, Chu, Yi [NTK] <<a href="javascript:;" onclick="_e(event, 'cvml', 'Yi.Chu@sprint.com')">Yi.Chu@sprint.com</a>> wrote:<br>
[snip]<br>
> As for the BULL, one can argue that banks do not have to put a sign telling<br>
> where the vault is or the keys to the vault are on the front door either.<br>
> But I guess all analogy is just analogy.<br>
<br>
The difference, with WHOIS contact information, there is a safety<br>
consideration, with regards to the public's ability to identify you<br>
and reach technical contacts for your network, to correct problems or<br>
put a stop to abuse.<br>
<br>
Just because you want your bank to  be secure,  does not mean you may<br>
remove all EXIT signs and post your guards at the main entrance.<br>
<br>
If you are suggesting that WHOIS is a go-to resource for would-be<br>
network intruders, I would say that's just totally  naive...    when a<br>
simple DNS lookup  finds the website, a simple DNS scan for<br>
interesting names finds other hosts,  and then there are public copies<br>
of the internet routing table readily available to determine what<br>
prefix is announced.<br>
<br>
Your typical network intrusion starts with an insider visiting a<br>
malicious website, or being the target of a social engineering attack.<br>
<br>
The actual significant rsk I see WHOIS could in theory pose here,   is<br>
 it can sometimes provide the real name and e-mail address of a<br>
person,  whom a black hat /might/  be able to  impersonate,   the<br>
hacker might be able to  fool another person in the organization into<br>
divulging their password over the phone,  by  using caller id spoofing<br>
and pretending to be the person listed in WHOIS....<br>
<br>
<br>
--<br>
-JH<br>
_______________________________________________<br>
PPML<br>
You are receiving this message because you are subscribed to<br>
the ARIN Public Policy Mailing List (<a href="javascript:;" onclick="_e(event, 'cvml', 'ARIN-PPML@arin.net')">ARIN-PPML@arin.net</a>).<br>
Unsubscribe or manage your mailing list subscription at:<br>
<a href="http://lists.arin.net/mailman/listinfo/arin-ppml" target="_blank">http://lists.arin.net/mailman/listinfo/arin-ppml</a><br>
Please contact <a href="javascript:;" onclick="_e(event, 'cvml', 'info@arin.net')">info@arin.net</a> if you experience any issues.<br>
</blockquote></div><br><br>-- <br>Sent via a mobile device<br>